2026-03-08
By Emre SalmanogluBedrohungsmodellierung: Der umfassende Leitfaden für Sicherheits- und Compliance-Teams
Erfahren Sie, wie Sie Bedrohungsmodellierung implementieren, die ISO 27001, SOC 2, NIS2 und DORA erfüllt. Behandelt STRIDE, PASTA, Angriffsbäume, Datenflussdiagramme, Risikobewertung und Compliance-Nachweise.
Bedrohungsmodellierung
STRIDE
Risikobewertung
sicheres Design
Compliance
Was ist Bedrohungsmodellierung?
Bedrohungsmodellierung ist eine strukturierte Methodik zur Identifizierung und Minderung von Sicherheitsbedrohungen während der Design- und Architekturphase der Systementwicklung. Anstatt auf die Entdeckung von Schwachstellen durch Tests zu warten, analysiert die Bedrohungsmodellierung proaktiv, wie ein System angegriffen werden könnte, und baut Verteidigungsmaßnahmen in das Design ein.
Effektive Bedrohungsmodellierung beantwortet vier Schlüsselfragen: Was bauen wir? Was kann schiefgehen? Was werden wir dagegen tun? Haben wir es gut genug gemacht?
Bedrohungsmodellierungs-Methodiken
| Methodik | Ansatz | Am besten für | Komplexität |
|---|---|---|---|
| STRIDE | Bedrohungsklassifikation (6 Kategorien) | Entwicklungsteams, Komponentenanalyse | Niedrig-Mittel |
| PASTA | Risikozentriert, 7-Phasen-Prozess | Enterprise-Risikobewertung | Hoch |
| Angriffsbäume | Baumstruktur zur Abbildung von Angriffspfaden | Spezifische Bedrohungsszenarien | Mittel |
| LINDDUN | Datenschutz-fokussierte Bedrohungskategorien | Datenschutzsensitive Anwendungen | Mittel |
| VAST | Visuell, agil, skalierbar | Große Organisationen, DevOps | Mittel |
| Kill-Chain-Analyse | Modellierung des Angreiferverhaltens | Incident-Response-Vorbereitung | Mittel |
STRIDE-Bedrohungskategorien
| Kategorie | Bedrohung | Sicherheitseigenschaft | Gegenmaßnahme |
|---|---|---|---|
| Spoofing | Sich als anderer Benutzer oder System ausgeben | Authentifizierung | Starke Authentifizierung, MFA, Zertifikate |
| Tampering | Daten, Code oder Konfigurationen modifizieren | Integrität | Eingabevalidierung, Prüfsummen, digitale Signaturen |
| Repudiation | Leugnen durchgeführter Aktionen | Nichtabstreitbarkeit | Audit-Logging, digitale Signaturen, Zeitstempel |
| Information Disclosure | Daten an Unbefugte preisgeben | Vertraulichkeit | Verschlüsselung, Zugriffskontrollen, Datenmaskierung |
| Denial of Service | Legitimen Zugriff auf Ressourcen verhindern | Verfügbarkeit | Rate Limiting, Redundanz, Auto-Skalierung |
| Elevation of Privilege | Unbefugte Zugriffsebenen erlangen | Autorisierung | Geringste Rechte, RBAC, Eingabevalidierung |
Bedrohungsmodellierungs-Prozess
| Schritt | Aktivitäten | Ergebnis |
|---|---|---|
| 1. Scope | Systemgrenzen, Assets und Vertrauensstufen definieren | Systemkontextdiagramm |
| 2. Zerlegung | Datenflussdiagramme mit Komponenten, Datenflüssen, Vertrauensgrenzen erstellen | DFD mit Vertrauensgrenzen |
| 3. Bedrohungen identifizieren | STRIDE oder gewählte Methodik auf jedes Element anwenden | Bedrohungsliste mit Beschreibungen |
| 4. Risiko bewerten | Jede Bedrohung nach Wahrscheinlichkeit und Auswirkung bewerten | Priorisierte Bedrohungsmatrix |
| 5. Gegenmaßnahmen bestimmen | Sicherheitskontrollen für jede Bedrohung identifizieren | Gegenmaßnahmen-Zuordnung |
| 6. Validieren | Verifizieren, dass Gegenmaßnahmen wirksam und implementiert sind | Validierungsbericht |
| 7. Dokumentieren | Modell, Entscheidungen und Restrisiken aufzeichnen | Bedrohungsmodell-Dokument |
Datenflussdiagramm-Elemente
| Element | Symbol | Beispiele | Bedrohungsfokus |
|---|---|---|---|
| Externe Entität | Rechteck | Benutzer, externe APIs, Drittanbietersysteme | Spoofing, Eingabevalidierung |
| Prozess | Kreis | Anwendungslogik, Microservices | Alle STRIDE-Kategorien |
| Datenspeicher | Parallele Linien | Datenbanken, Dateisysteme, Caches | Tampering, Information Disclosure |
| Datenfluss | Pfeil | API-Aufrufe, Netzwerkverbindungen, Dateiübertragungen | Tampering, Information Disclosure |
| Vertrauensgrenze | Gestrichelte Linie | Netzwerkperimeter, Service Mesh, Authentifizierung | Alle Kategorien (höchstes Risiko) |
Risikobewertungsmatrix
| Geringe Auswirkung | Mittlere Auswirkung | Hohe Auswirkung | Kritische Auswirkung | |
|---|---|---|---|---|
| Hohe Wahrscheinlichkeit | Mittel | Hoch | Kritisch | Kritisch |
| Mittlere Wahrscheinlichkeit | Niedrig | Mittel | Hoch | Kritisch |
| Geringe Wahrscheinlichkeit | Information | Niedrig | Mittel | Hoch |
Gängige Bedrohungsmuster
| Muster | Beschreibung | Wo gefunden | Gegenmaßnahme |
|---|---|---|---|
| Broken Authentication | Schwache oder umgangene Authentifizierung | Login-Flows, API-Endpoints | MFA, Session-Management, Token-Validierung |
| Injection | Nicht vertrauenswürdige Eingabe als Code ausgeführt | Datenbankabfragen, OS-Befehle, LDAP | Eingabevalidierung, parametrisierte Abfragen |
| Datenexposition | Sensible Daten unsicher übertragen oder gespeichert | APIs, Datenbanken, Logs | Verschlüsselung, Maskierung, Zugriffskontrollen |
| Rechteeskalation | Benutzer erhält höheren Zugriff als autorisiert | Admin-Funktionen, Rollenzuweisungen | Geringste Rechte, Autorisierungsprüfungen |
| Supply-Chain-Kompromittierung | Bösartige Drittanbieter-Komponenten | Abhängigkeiten, Integrationen, APIs | SCA, SBOM, Lieferantenbewertung |
| Insider-Bedrohung | Autorisierter Benutzer handelt böswillig | Alle internen Systeme | Überwachung, Aufgabentrennung, Zugriffsüberprüfungen |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Risikobewertung | A.5.7 | CC3.2 | Art. 21(2)(a) | Art. 8(1) |
| Threat Intelligence | A.5.7 | CC3.2 | Art. 21(2)(a) | Art. 8(6) |
| Sicheres Design | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Sicherheitsanforderungen | A.8.26 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Sicherheitstests | A.8.29 | CC8.1 | Art. 21(2)(e) | Art. 8(3) |
| Änderungs-Risikobewertung | A.8.32 | CC8.1 | Art. 21(2)(e) | Art. 8(2) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Bedrohungsmodell-Dokumente | Abgeschlossene Bedrohungsmodelle für kritische Systeme | Alle Frameworks |
| Datenflussdiagramme | Aktuelle DFDs mit Vertrauensgrenzen | ISO 27001, SOC 2 |
| Risikobewertungsergebnisse | Priorisierte Bedrohungslisten mit Bewertungen | Alle Frameworks |
| Gegenmaßnahmen-Zuordnung | Bedrohungen auf implementierte Kontrollen abgebildet | Alle Frameworks |
| Bedrohungsmodell-Überprüfungsaufzeichnungen | Nachweis periodischer Überprüfung und Aktualisierung | ISO 27001, NIS2 |
| Behebungsverfolgung | Tickets mit Bedrohung-zu-Fix-Workflow | Alle Frameworks |
| Trainingsaufzeichnungen | Entwickler-Bedrohungsmodellierungs-Training | ISO 27001, SOC 2 |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Nur beim initialen Design modellieren | Abweichung zwischen Modell und Realität | Bedrohungsmodelle bei signifikanten Änderungen aktualisieren |
| Zu abstrakt, keine umsetzbaren Ergebnisse | Modelle bieten keinen Sicherheitswert | Spezifische, testbare Gegenmaßnahmen einbeziehen |
| Nur Sicherheitsteam beteiligt | Fehlende Domänenkenntnisse | Entwickler, Architekten und Product Owner einbeziehen |
| Vertrauensgrenzen ignorieren | Angriffsflächen mit höchstem Risiko übersehen | Jede Vertrauensgrenzüberschreitung in DFDs abbilden |
| Keine Bedrohungspriorisierung | Alle Bedrohungen gleich behandeln | Risikobewertung nutzen, um sich auf kritische Bedrohungen zu konzentrieren |
| Behebung nicht verfolgen | Identifizierte Bedrohungen werden nie adressiert | Gegenmaßnahmen als Sicherheitsanforderungen verfolgen |
Wie Orbiq Bedrohungsmodellierungs-Compliance unterstützt
Orbiq hilft Ihnen, Bedrohungsmodellierung und Risikobewertung nachzuweisen:
- Evidenzsammlung — Bedrohungsmodelle, Risikobewertungen und Behebungsaufzeichnungen zentralisieren
- Kontinuierliche Überwachung — Bedrohungsmodell-Abdeckung und Behebungsfortschritt verfolgen
- Trust Center — Ihre sicheren Designpraktiken über Ihr Trust Center teilen
- Compliance-Mapping — Bedrohungsmodellierungsaktivitäten auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Risikomanagement — Enterprise-Risikobewertung und -behandlung
- DevSecOps — Bedrohungsmodellierung in CI/CD integrieren
- Schwachstellenmanagement — Von der Bedrohungsidentifikation zur Behebung
- Incident Response — Wenn Bedrohungen eintreten
- Lieferkettensicherheit — Drittanbieter-Bedrohungsbewertung
- API-Sicherheit — Bedrohungsmodellierung für APIs